对话CertiK顾荣辉教授:任何时代,都是从对抗「黑暗」开始的
在过去几年中,Web3.0行业发展迅猛且受到广泛关注。在这个全新的数字世界中,数据不再是由少数人掌控,而是由整个网络共同维护和管理。这将带来更加公平、透明、安全的数字经济生态系统。
然而Web3.0技术的发展也带来了一系列挑战:尽管其去中心化特性为用户带来了更大的控制权和自主权,但这也使得攻击者有了更多的机会来寻找漏洞并恶意利用。
这些安全问题不仅对用户的资产和隐私构成了威胁,也对整个行业的可持续发展产生了不可忽视的影响。2023年仅第二季度,Web3.0行业因黑客及欺诈骗局导致的资产损失高达3.1亿美元,而这个数字相比2022年同期还略有下降。212起记录在案的事件意味着第二季度平均每天都要发生2起以上的安全事故。第一季度的Euler Finance事件更是以一己之力创下了2023年损失金额的最高记录: 1.95亿美元。
为了解决这些问题,安全已成为Web3.0用户和行业乃至全球范围内的关注焦点。业界持续寻找降低安全风险的解决方案,探讨如何基于去中心化的Web3.0技术建立更为安全的机制,在保护用户隐私和资产的同时,支持数字经济的可持续发展。
本刊专访CertiK联合创始人、新加坡金管局国际技术咨询委员会委员、香港Web3.0发展专责小组成员顾荣辉教授,整理后全文如下。
Q: 您认为,什么属性在Web3.0时代最为重要?
顾荣辉:我个人认为安全性对于Web3.0的可持续发展最为重要。Web3.0被认为是区块链技术、人工智能、大数据等新技术与互联网的深度融合,它的出现将会带来更智能化、安全化、去中心化的互联网。
普华永道预计,Web3.0将在未来10年内将全球GDP提高超过25倍。而Web3.0的核心理念是用户可以直接控制和管理自己的数据、数字资产和身份,而不需要依赖中心化的机构。在这个新的模式下,安全性是确保用户资产和信息不受攻击、欺诈或滥用的关键因素。
而目前的全球监管政策也证实了这一点。
Q: 目前的全球监管政策对Web3.0来说是利好吗?
顾荣辉:以香港为例,它作为国际金融中心之一,有着得天独厚的优势来发展Web3.0行业,但其一直致力于成为促成监管确定性。自去年开始,香港就在持续颁布一系列监管新规,并采取谨慎和稳健的态度,来寻求市场完整性和用户的长期保护。而这恰恰是其认可Web3.0潜力的表现,也成功促使香港建立规范的Web3.0市场秩序,助力其向全球Web3.0中心的目标迈进。
就在上月末,我非常荣幸的受邀加入了由香港陈茂波先生领导的香港Web3.0发展专责小组,也受邀加盟了新加坡官方国际技术咨询委员会。这也充分的反映了各国对Web3.0安全领域的重视以及体现了全球对Web3.0的长期战略方向。
Q: 监管层面的变化,对CertiK的业务有任何影响吗?
顾荣辉:全球各地的监管机构都在加强对Web3.0货币和行业的监管力度,对于安全领域来说,这无疑是一个利好信息。我们有一个比较具备代表性的产品:KYC尽调服务,该服务用以应对行业内层出不穷的欺诈骗局,且可在监管层面充分配合相关机构。
Q:本次会议上,您着重提到了智能分析,AI人工智能的热度居高不下,智能分析技术也与其有关,请问你是怎么看待这一类被冠以「毁灭人类」之称的技术呢?
顾荣辉:2022年OpenAI推出了ChatGPT,我们也对它非常感兴趣。随后就进行了一次尝试:测试ChatGPT作为AI「智能合约审计师」的能力。最终结果是ChatGPT在其审计中遗漏了某些关键性的安全问题。当然,这是由于人工智能在充分理解代码的复杂性和细微差别方面的局限性,以及其缺乏在现实场景中的实践经验。但这也证明了至少暂时,AI技术无法代替人工,而人工却可以弥补AI的不足。而我们需要做的是持续探索如何更好地利用这一全球共同发展的领先技术,来服务于Web3.0安全的发展。
Q:也就是说无论是AI,还是智能分析,都可以在Web3.0安全领域中起到一部分作用,那能深入聊聊它的关键之处以及CertiK在这方面的运用吗?
顾荣辉:为了保障Web3.0应用和区块链项目的安全性,灵活运用智能分析技术将是安全领域前行的下一步,其也可在Web3.0安全审计过程中发挥真正的价值。
智能合约是Web3.0应用的核心组成部分,也是最容易受到攻击的目标之一。
智能分析技术可以通过对合约代码的静态和动态分析,识别潜在的漏洞和安全风险,并可自动化地检测合约中的安全问题,提供详细的报告,帮助审计专家更高效地发现和修复漏洞。
不仅如此,智能分析系统还可对区块链网络中的交易进行监测和分析,识别异常行为和攻击行为,帮助发现潜在的安全风险。目前,我们就正在利用最先进的形式化验证技术、安全智能审计技术以及安全专家人工审计,通过扫描及监控区块链协议和智能合约,保证项目的安全性。
作为「Web3.0学术界的代表机构」,我们的研发团队一直在深耕将智能分析运用于安全的方式,并将其转化为任何普通用户都可以使用的工具。
其实我们的Skynet天网扫描平台在2020年就已经上线推出了,这也是我们目前智能分析平台Skynet for Community最早的支撑工具。我们很早之前就有关于这方面的想法,希望可以将前沿学术成果转化为企业级产品,从而提供一个不仅是专业技术人员才能踏足的平台,这个平台必须可以自行产出可视化的数据,为所有普通用户进行服务。
这个想法直到今年年初才算是实现的足够完善,Skynet for Community可以为用户提供可操作的链上数据和社交数据,最新完成智能合约审计的项目名单,还有最具价值的行业见解和安全最佳实践,我们实现了流程简化并将这些数据全部整合于一个平台供用户查阅。
Q: 您提到的Skynet for Community平台有什么功能?
顾荣辉:Skynet for Community平台是希望为圈内用户,打开名为「安全」的大门。从前「安全」二字对于普通用户来说是一个不可触及的领域,但攻击和损失却是确确实实的。未来用户不仅可以通过这个平台,查看所有他们关注的生态系统和项目的市场状态,还可以通过CertiK排行榜查看其安全评分和风险,获知第一时间的预警和威胁动态。除此之外,用户还可以查看项目的团队背景检测,我们的KYC版块会赋予徽章给那些通过KYC检测的项目,用户即可借此大幅度降低陷入Rug Pull等欺诈骗局的风险。
Q:这样听起来,安全技术其实不止可以应用于Web3.0对吧?
顾荣辉:是这样的,这类安全技术可以运用到非常多领域,例如云计算。
今年5月,我们和阿里云宣布签署合作伙伴关系正是基于这一点。我们为那些部署在云服务器上的Web3.0项目提供安全服务。现在,Web3.0开发人员就可以使用CertiK的安全解决方案和阿里云可扩展、高效且安全的基础设施来加速开发过程并保护应用程序和智能合约。我们的智能合约审计服务和Layer 1区块链审计服务已全面上线阿里云,很荣幸可以看到阿里云致力于同样的愿景并采用全面的安全方法。我们也非常期待可以将安全的区块链开发和部署赋予尽可能广泛的受众。
Q: 听到你也介绍了你们的漏洞赏金计划,这个计划主要是在做什么的?
顾荣辉:我们招募并遴选了一批世界顶级的白帽黑客,收集情报以在恶意行为者利用漏洞之前将其及时发现。不仅可以为用户筛查和鉴定所有提交材料,还可以协助其进行正确的修复。
值得一提的是,前阵子我们刚因发现一种新型安全威胁而被公链SUI授予50万美元赏金。
我们发现的威胁被命名为“HamsterWheel(仓鼠轮)”,它有可能破坏SUI整个Layer 1网络。目前SUI已推出修复措施,用以确保其网络安全。这也表明了积极开展网络安全工作、促进安全区块链生态系统的重要性以及漏洞赏金计划的价值,凸显了在快速发展的区块链领域采取强有力的安全措施和先发制人识别威胁的必要性。
受访者介绍
顾荣辉教授是哥伦比亚大学计算机系教授,本科毕业于清华大学,在耶鲁大学获得计算机科学博士学位。同时他也是操作系统、软件安全以及形式化验证方面的专家,世界上第一个被完全证明的并发操作系统内核CertiKOS的主要设计者和开发者。顾荣辉教授因在系统安全领域的贡献,获得了亚马逊研究奖、OSDI Jay Lepreau最佳论文奖、SOSP最佳论文奖、 CACM(国际计算机协会)Research Highlights奖,VMware系统研究奖,耶鲁优秀博士论文奖。他与耶鲁大学计算机系主任、终身教授邵中共同创立了CertiK,短短五年占据了Web3.0安全市场最高占有率,创立至今保障了超过3600亿美金的数字资产安全,一跃成为估值20亿美金的超级独角兽。
7月初,CertiK联合创始人顾荣辉教授受邀出席「全球数字经济大会数字安全高峰论坛暨BCS2023北京网络安全大会」,于大会开幕式上自智能分析与审计实践的具体讨论入手,回应了Web3.0安全领域普遍关注的前沿性问题。
写在最后
Web3.0的未来趋势令人兴奋,但它的实现也离不开整个行业的努力和保护。保护用户资产、隐私和数据的安全,防止攻击和滥用行为,以及建立可靠的信任机制,都是确保Web3.0生态系统成功发展的关键要素。
只有通过全球社区的共同努力,才能够构建一个安全可靠的Web3.0生态系统,为用户提供真正安全、隐私保护和可持续发展的数字经济。
希望通过业界的共同努力,Web3.0能够达到更高的安全性和可持续性,助力更为安全、开放和公正的Web3.0落地,推动数字经济更好地融入人们的生活。